恶意宏通过劫持桌面快捷方式来提供后门

阅读量    29208 |   稿费 200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

尽管已经存在了数十年,但网络犯罪分子仍在使用恶意宏来传播恶意软件,不过他们使用了更具创意的方式来使其更加有效。最近一个案例背后的攻击者采用了一种更加迂回的方式来使用宏——通过搜索用户系统中的特定快捷方式文件,并将它们替换为指向其下载的恶意软件的快捷方式。当用户点击经过修改的桌面快捷方式时,其下载的恶意软件将被执行。

恶意软件执行后,它会恢复原始的快捷方式文件,使得再次点击它能够打开正确的应用程序。然后,恶意软件将拼装它的有效载荷。在这里,它并不没有使用自己的工具,而是从互联网下载可用的常用工具,如各种Windows工具(WinRARAmmyy Admin),以收集信息并通过SMTP发送给攻击者。

虽然,宏和下载的恶意软件本身并不复杂,但这种方法仍然很有意思,因为它体现出尚未完成且仍在被继续开发的迹象。 

1.恶意软件感染链

恶意文档

这种攻击的感染链从恶意文档开始,该文档是使用俄语编写的,并附带一座房屋的图像。其内容指示用户启用宏来打开整个文档。 

2.恶意文档的片段

用户需要启用宏来让它工作,因为微软默认禁用了宏以避免潜在的安全风险。正如微软安全通告所描述的那样,启用宏会使用户的计算机容易受到潜在恶意代码的攻击。

 

宏如何帮助劫持快捷方式

一旦用户启用了宏,它就会尝试在用户桌面上搜索快捷方式文件以替换与之相应的链接文件。它主要针对了5种快捷方式,即SkypeGoogle ChromeMozilla FirefoxOperaInternet Explorer。在找到匹配项后,它会根据它的名称和环境来从Google DriveGitHub下载恶意软件。在最后,恶意软件的文件会看起来像是已经被删除或不再上线。

举个例子来具体说明,如果它在用户桌面上找到了Google Chrome的快捷方式,则会执行以下步骤。

1.如果有效载荷尚不存在,它会在%AppData%Google中创建一个目录。

2.从以下链接将有效载荷下载到%AppData%Googlechrome_update.exe(检测为HKTL_RADMIN)。

l  如果系统没有安装.NET框架:hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/chrome_update

l  如果系统安装有.NET框架:hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/chrome_update 

3.用于展示宏从不同路径下载有效载荷的屏幕截图

3.找到目标快捷方式并删除其包含的链接。

4.创建一个新的链接来替换目标链接,其中包含指向新下载的有效载荷的部分:.TargetPath = %AppData%Googlechrome_update.exe

4.指向恶意软件的新快捷方式文件

不仅如此,它还将更改快速启动栏中的链接,以及执行这些剩余的步骤。

5.%AppData%MicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar中找到文件名与GoogleGoogle Chrome相关的链接。

6.再一次,它将转到快捷方式图标并更改链接以指向恶意软件。

这些步骤的目的在于篡改目标快捷方式,以便当用户单击桌面或快速启动栏中的快捷方式图标时,执行的是恶意软件,而不是正确的应用程序。

 

恶意软件如何运行恶意服务并覆盖其痕迹

一旦执行,恶意软件首先会在system32SysWoW64中植入WpmPrvSE.exe(检测为TROJ_DLOADER.COGBA),这取决于Windows版本。然后,启动一个名为WPM Provider Host的服务。查看这个服务的属性,可以看到它具有“WPM Provider Host – System-mode WPM Provider Framework Host Process”的描述。 

5. WPM Provider Host服务及其属性的屏幕截图

此外,它还会植入rar.exe和一个System32SysWoW64中的注册码,以供以后使用。最后,它将恢复之前在桌面和快速启动栏中替换的快捷方式文件,以覆盖其痕迹。

 

恶意服务的工作原理

当恶意软件运行时,恶意软件激活的恶意服务将会下载最终的有效载荷。该服务从Google DriveGitHub下载RAR存档,时间间隔设置为1小时(3,600,000 ms)。它使用先前植入的Win​​RAR工具解压存档,其中包含一个安装程序文件、一些配置文件以及一些其他的工具,这些工具将被拼装在一起使用。 

6. Rar存档内容

该服务将运行从RAR存档解压而来的installer.exe(检测为HKTL_RADMIN)。installer.exe使用certutil命令行程序,这是Windows证书服务的一部分,也可以解码和编码Base 64certutil会将wsvchost.key(包含在RAR存档中)解码为wsvchost.exewsvchost.exe实际上是Ammyy Admin 3.5,一个已知的远程管理工具。它会创建一个文件夹(在C:/ProgramData/Ammyy下),并将包含Ammy Admin设置的文件setting3.bin放入其中,该文件将更改Ammyy Admin的权限设置。现在,这些设置将允许一个特定的Ammyy Admin ID(很可能是攻击者的ID)能够对受感染系统进行完全访问。

 7.具有完全访问权限的ID

然后,它将运行shell脚本stop_ammmyy.ps1,强制终止在攻击开始之前已经运行的任何Ammyy进程,如果存在的话。很难确定攻击链的这一部分是用来做什么的,因为在对此恶意软件的早期版本的分析中并没有看到这一步骤,并且它会对整个攻击过程起到反作用。

同时,安装程​​序文件还启动了另一个名为WSVCHost的服务,该服务将运行wsvchost.exeAmmyy Admin 3.5),并继续使用procdump从内存中转储与WSVCHost相关的进程。在我们的示例中可以看到其中两个。 

8. WSVCHost的屏幕截图 

9. procdump试图转储两个相关的进程

在完成上面的步骤之后,它将再次使用certutil对转储文件进行编码,然后使用WinRAR将转储文件压缩为两个文件(本示例中的dump1.txt.imgdump2.txt.img),它们将被放在一个“treasure”文件夹中(在本示例中是C:WindowsSystem32send_treasure)。 

10.“treasure”文件夹的屏幕截图

这两个文件将作为附件通过SMTP发送给攻击者,其中包括一些系统信息和执行日志。这个过程是通过端口465 连接到电子邮件服务器rambler.rumeta.ua来实现的。发送到两个不同的电子邮件服务器可能表明攻击者想要确保信息传递的成功。SMTP凭证是硬编码的,但可以通过RAR存档中的mails.ini文件进行更新。

11. 恶意软件连接到端口465的屏幕截图

转储文件中的信息

当我们查看转储文件时,我们设法找到了路由器IP地址和一个Ammyy Admin ID。手动安装Ammyy Admin允许我们查看设置窗口,并确认系统的ID与文件转储中找到的ID相匹配。在恶意软件分析并掌握了目标系统的Ammyy Admin ID后,会授予攻击者的ID对目标系统的完全访问权限,进而攻击者也就应该能够通过Ammyy Admin访问目标系统了。

12.路由器IP地址和Ammyy Admin ID

13.手动安装的Ammyy Admin窗口

除了用户的Ammyy Admin ID之外,转储文件的其他内容似乎没有被立即使用。攻击者可能只是单纯地在收集更多的信息。在我们的分析过程中,我们还注意到一些被下载的文件是如何被更改和更新的,这表明攻击者仍在对恶意软件进行开发。恶意软件可能仍处于PoC阶段,在今后可能会有进一步的版本推出。

 

解决方案和缓解措施

从使用宏到安装,这个恶意软件都表现出了非常不寻常的行为,而且可能仍处于开发阶段。我们认为恶意软件尚未广泛传播,到目前为止只有少数受害者。但是,重要的是要注意这种恶意软件和攻击方法,因为更新的和改进的版本可能正在开发中。

微软默认禁用了宏,因为他们知道恶意软件开发者是如何利用嵌入代码的。熟悉系统的宏设置可以帮助用户最好地使用宏,同时仍然使用代码过滤攻击,但一般性建议是避免为从新的或未知的来源下载的文档启用宏。

 

IoC

SHA256

检测名称

0181A985897F1FA66EDE98CC04E97B05387743DE198C2DCF4667FA4FDE7779C1

HKTL_RADMIN

20B05A17623A7E74F7CFE4296BA79CFF8CA6B3EA64F404661B7BC46AB603511C

HKTL_RADMIN

2864B1B7417AACC13A4277D8CB9C94B5A04420F6CCC1CC4DFD3BE4D369406383

HKTL_RADMIN

2B3CD4D85B2B1F22D88DB07352FB9E93405F395E7D0CFE96490EA2BC03A8C5FF

HKTL_RADMIN

3B85E737965020D82CDC0890F1243732B71977117CDF310554E9DD91B78BFE63

HKTL_RADMIN

451C4C3FBF5AEC103833FA98D942B1876D9CE84575A00757562489921BC1D396

HKTL_RADMIN

45B2580DB6D13720014753813EB69C1AA0EFFBD100BB80E5A07D75447489BA0F

HKTL_RADMIN

7730A98FD698F1043184992F1CA349EA1BDFD33D43A0ECE2CD88F9F6DA2E37D1

HKTL_RADMIN

804D883661BA51CEC97135F9F33C1FA9084384783D59A4F55D496E2901C20289

TROJ_DLOADER.COGBA

96A4F844D7102D0EE757CAA1719F1CD95D1386E61EB7C694020D6CF14B546880

HKTL_RADMIN

9EAC92BEC146CE9CEF096105F6531F2EE4C2E1A14507F069728A1022ECDCDEDD

HKTL_RADMIN

A4B25E5E72FC552E30391D7CD8182AF023DC1084641D93B7FA6F348E89B29492

HKTL_RADMIN

A9FC2B6F8BC339742268BAC6C02843011EBB670114A786A71FF0FA65397AC9C6

HKTL_RADMIN

C57BF08C414900B5B4AD907272A606D6695C14DC2ACC0264ECA53840EEE3F3F4

HKTL_RADMIN

C9B7C2189D3CEA05A666C45043812D832BED60CFCB8A97222BCA9AFC53B3D229

HKTL_RADMIN

CC60DAE1199C72543DD761C921397F6E457FF0440DA5B4451503BFCA9FB0C730

HKTL_RADMIN

d904495737dfe33599c0c408855f6d0dd9539be4b989eb5ab910eb6ab076d9ef

W2KM_DLOADER.FODAM

第一阶段链接

hxxps://drive[.]google[.]com/uc?authuser=0&id=1eoZvAJNwYmj97bWhzVLUVIt0lAqWKssD&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1f84hF8spepIVwTMAQU0nYs-6o9ZI3yjo&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1G7pfj4X3R4t8wq_NyCoE2pMYFo-TIkI9&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1GofUo_21wAidnNek5wIqTEH65c5B4mYl&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1NfIqI9SJedlNn02Vww8rd5F73MfLlKsJ&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1NgMUcD8FzNTEi45sNc6Cp-VG-EnK_uL-&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1NStRbzXtC4Vwv2qZ0CjrJYbk5ENFmQv_&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1tBu1-SVAdWQccETb_AxAhBR3CLIrjkOU&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1TjywdxSZfENUorSHyjVDprOsT8Sq1_SW&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1Xhx22-OVqg-ZcpwU6bVBdP9lWZfzyFzB&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1yC0rtWErmwTTyLO3VuP33pgLkfzy0xik&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1YqlYbFUObMjRBvNFfjwkdSJTpxU-rMVy&export=download

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/chrome_update

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/chrome_update

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/firefox_update

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/iexplorer_update

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/opera_update

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/updater

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/firefox_update

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/iexplorer_update

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/opera_update

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/updater

第二阶段链接

hxxps://drive[.]google[.]com/uc?authuser=0&id=1lcw-cN9o3NkR6zkeHrDHg-WiUhHBi1wK&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1OhTA1K04zKFaKw7omXJbmN8_S2VmIcdD&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1okynNTx2kEvx1gBQsmmB3OuS0wQ3A3uE&export=download

hxxps://drive[.]google[.]com/uc?authuser=0&id=1ZFcguS1z4bSCpnMibYZZ8KHdFtN6hscM&export=download

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/winhost[.]img

hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/winhost[.]ver

hxxps://raw[.]githubusercontent[.]com/modernconceptplanet/vsto/master/winhost[.]img

hxxps://raw[.]githubusercontent[.]com/modernconceptplanet/vsto/master/winhost[.]ver

审核人:yiwang   编辑:边边

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多